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PROCEDE ANTI-FRAUDE D'UN ALGORITHME EXECUTE PAR UN CIRCUIT 

INTEGRE 

La presente invention concerne le domaine des circuits 
integres et plus particulierement la protection de donnees ou 
quantites secretes manipulees par des circuits integres contre 
des tentatives de fraude visant a pirater ces donnees. 

Un exemple d' application de la presente invention 
concerne le domaine des cartes a puce dans lesquelles des quan- 
tites secretes servant a chiffrer ou crypter des donnees venant 
de I'exterieur sont contenues dans la puce de circuit integre . 

Parmi les fraudes possibles, 1 ! invention se preoccupe 
plus particulierement des tentatives de fraudes basees sur un 
examen de la signature d'un parametre physique du circuit 
integre executant une fonction mettant en oeuvre une quantite 
secrete. Cette signature physique sur le circuit integre peut 
correspondre, par exemple, a devolution de sa temperature ou de 
sa consommation en courant. Les attaques par analyse statistique 
de consommation d'un circuit integre sont connues sous les 
denominations SPA (Simple Power Analysis) ou DPA (Differential 
Power Analysis) . Ces attaques consistent a emettre des 
hypotheses sur la ou les cles manipulees alors que 1 ' on connait 
les donnees d l entree dans 1 1 algorithme (provenant de I'exte- 
rieur) ainsi que 1' algorithme lui-meme. Dans la mesure ou l'algo- 
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rithme est connu (il est deterministe , en ce sens qu'il manipule 
toujours les donnees de la meme fagon) , on salt comment la quan- 
tity secrete est melangee a la donnee d» entree par cet algo- 
rithme. En faisant varier les donnees d' entree sur la base d'une 
meme hypothese de cle, on pent analyser la consommation en 
courant du circuit integre et obtenir une signature (trace) 
moyenne qui peut conduire a la decouverte de la quantite secrete 
en tombant sur la bonne hypothese. 

Les attaques par analyse de la consommation de type 
DPA sont decrites, par exemple, dans 1 -article "Differential 
Power Analysis" de Kocher, Jaffe et Jun, publie par Stringer 
Verlag LNCS 1666, en 1999 dans le cadre de la conference Crypto 

99 (388 a 397) . 

Le defaut de securite de circuits integres, par exemple 
les cartes a puce, executant des algorithmes manipulant des quan- 
tites secretes nuit considerablement au developpement de 
produits integrant de tels systemes. 

La presente invention vise a ameliorer la securite des 
circuits integres manipulant des donnees secretes contre des 
attaques par analyse de signature physique. Plus particulie- 
rement, 1' invention vise a proposer un precede anti-fraude contre 
des attaques par analyse de signature physique d'un circuit 
integre manipulant des donnees secretes. 

Pour atteindre ces objets et d-autres, la presente 
invention prevoit un procede anti-fraude consistant a rendre 
aleatoire la signature physique d-un circuit integre executant 
un algorithme ou programme principal, consistant a prevoir dans 
ledit programme, un branchement a une adresse choisie aleatoi- 
rement d'un sous -programme ayant au moins pour caracteristique 
que tout code operatoire qu'il contient conduit directement ou 
indirectement a une instruction incluse dans le meme sous-pro- 
gramme a 1' exception d'au moins une instruction de retour dans 
le programme principal appelant, de facon a rendre aleatoire le 
temps d' execution total du programme principal. 
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Selon un mode de mise en oeuvre de la presente inven- 
tion, le sous -programme a pour caracteristique que quelle que 
soit l'adresse d 1 entree dans ce sous -programme, 1 1 instruction de 
retour dans le programme principal appelant soit forcement atteinte. 

Selon un mode de mise en oeuvre de la presente inven- 
tion, ledit sous -programme a pour caracteristique de ne contenir 
aucun code operatoire generant une interruption. 

Selon un mode de mise en oeuvre de la presente inven- 
tion, ledit sous -programme a pour caracteristique de ne contenir 
aucune instruction de saut ou de branchement vers une adresse 
externe audit sous -programme . 

Selon un mode de mise en oeuvre de la presente inven- 
tion, ledit sous -programme a pour caracteristique de ne pas 
contenir de boucle infinie. 

Selon un mode de mise en oeuvre de la presente inven- 
tion, ledit sous -programme est place, avec le code du prograirane 
principal, dans une memoire morte . 

L» invention prevoit egalement un circuit integre 
d' execution d f un programme deterministe . 

Ces objets, caracteristiques et avantages, ainsi que 
d'autres de la presente invention seront exposes en detail dans 
la description suivante de modes de realisation particuliers 
faite a titre non limitatif en relation avec la figure jointe 
qui illustre, de fagon tres schematique un mode de mise en 
oeuvre du procede anti-fraude selon la presente invention. 

Pour des raisons de clarte, seuls les elements qui 
sont necessaires a la comprehension de 1 ' invention ont ete 
representes a la figure et seront decrits par la suite. En 
particulier, la constitution d'un circuit integre ou microcontro- 
leur executant une fonction de securite de 1' invention n'a pas 
detaillee, celle-ci pouvant etre mise en oeuvre avec tout 
microcontroleur connu. De plus, les instructions et codes opera- 
toires utilises pour la mise en oeuvre du sous -programme de 
securite de 1' invention n f ont pas ete detailles, ce sous- 



1er depot 



4 



programme mettant en oeuvre des instructions en elles -memes 
classiques . 

Une caracteristique de la presente invention est de 
prevoir une de synchronisation d'un programme ou algorithme mani- 
pulant des quantites secretes afin de rendre aleatoire sa duree 
d' execution. Ainsi, d'une execution a 1- autre, la signature 
physique du circuit est differente de facon aleatoire, ce qui 
empeche un pirate eventuel de valider une hypothese sur la quan- 
tite secrete, dans la mesure ou la difference de signature ne 
provient pas uniquement de la difference entre les donnees 
d ' entree . 

La figure 1 illustre, de facon tres schematique, un 
mode de mise en oeuvre du procede anti-fraude de 1' invention. 

L' invent ion s' applique, dans cet exemple, a un pro- 
gramme Pg manipulant des quantites secretes. Ce prograrmie debute 
par une instruction de depart (START) , et comprend une succes- 
sion d ' instructions INST1 a INSTm executant 1' algorithme de 
facon classique. 

Selon 1' invent ion, le programme Pg comprend au moins 
une instruction de branchement vers un sous -programme E. Cette 
instruction a ete designee par SECU. L • instruction SECU comporte 
un branchement sur le sous -programme E a une adresse AddRd 
selectionnee de facon aleatoire. 

Ainsi, lorsque le programme execute 1 ' instruction SECU, 
le microcontroleur effectue un tirage aleatoire d'un nombre Rd 
compris entre deux valeurs constituant les bornes d'adresses du 
sous -programme E. L' adresse de branchement Addi (i correspond au 
nombre aleatoire Rd) dans le sous -programme E est done aleatoire 
et change a chaque execution de 1' algorithme Pg . 

Le sous -programme E contient des codes operatoires 
OPCODEi qui scant, selon 1 • invention, choisis dans un ensemble de 
codes respectant les conditions suivantes : 

les codes operatoires OPCODEi font partie d'un ensemble 
clos, e'est-a-dire que, quel que soit le code operatoire execute 
dans le sous -programme E (a 1' exception d'une instruction RET de 
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retour dans le programme appelant Pg) , le prochain code opera- 
toire est aussi un code operatoire de ce sous -programme ; 

les eventuelles instructions de saut ou d'appel a 
d'autres sous -programmes sont de preference limitees a celles 
permettant de respecter 1' ensemble clos ; 

quelle que soit l'adresse d' entree dans le sous- 
programme E, on finit tou jours par tomber sur le code operatoire 
RET qui permet de sortir du sous -programme ; 

le sous -programme E est depourvu de boucles infinies ; 

et 

de preference, l 1 ensemble de codes operatoires ne 
contient pas d' instruction de generation d 1 interruption (afin 
d'eviter un arret de l 1 execution de 1 • algorithme) . 

On a designe ci-dessus les const ituants du sous -pro- 
gramme comme etant des codes operatoires, surtout pour les 
distinguer des instructions du programme principal. En pratique, 
le sous -programme E contient comme tout programme des instruc- 
tions constitutes chacune d'un ou plusieurs codes operatoires 
traitant le cas echeant un ou plusieurs operandes. Les acces 
dans le sous -programme E pourront done se faire a des debuts 
d 1 instructions respectant les conditions enoncees ci-dessus. Ce 
qui est le plus important, c 1 est de ne pas tomber au milieu 
d'une instruction (sur un code operatoire d'une instruction conplexe) 
et d'y rester bloque . Pour le cas ou certaines adresses du sous- 
programme E soient interdites en termes d'adresse d' entree, on 
effectuera par exemple un test de validation du nombre aleatoire 
Rd. En variante, le nombre Rd est choisi aleatoirement dans un 
ensemble d ! adresses possibles. 

Pour le cas ou les instructions ou code operatoires du 
sous -programme fasse appel a des operandes, ceux-ci pourront 
etre quelconques a 1 ' exception de 1'eventuelle quantite secrete 
elle-meme . 

Le sous -programme E est, par exemple, loge en memoire 
morte avec le code du programme principal Pg. 
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La generation du sous -programme anti-fraude E peut 
etre effectuee manuellement en respectant les conditions enoncees 
plus haut . 

Selon un autre mode de mise en oeuvre, le programme E 
est genere automat iquement par un compilateur. L ' utilisateur a 
ainsi la garantie de respect des conditions sur ce sous- 
programme. Le sous -programme est alors un ensemble de codes 
operatoires genere s automat iquement , eventue 1 1 ement de maniere 
aleatoire, tout en respectant les regies predefinies. 

Bien entendu, plusieurs appels a la fonction anti- 
fraude SECU peuvent etre presents dans le programme principal 
Pg. De meme, differents sous -programmes E peuvent etre prevus 
pourvu que chacun d'entre eux soit de meme nature et respecte 
l'acces aleatoire depuis le programme principal. 

A titre d'exemple simplifie, le sous -programme le plus 
simple consiste a positionner 1 r instruction RET en derniere 
ligne du sous -programme et a ne prevoir que des instructions ou 
code operatoire NEXT de saut a l'adresse suivante . Ainsi, selon 
l'adresse a laquelle 1 ' instruction SECU du programme principal 
envoi dans le sous -programme , la duree pour arriver a 1' instruc- 
tion de retour RET est differente. 

Un avantage de la presente invention est qu'elle permet 
de rendre aleatoire la duree d 1 execution d'un programme mani- 
pulant des quantites secretes. Cela permet de rendre variable et 
aleatoire la signature en courant (ou autre signature physique) 
du circuit integre executant ce programme. 

Bien entendu, la presente invention est susceptible de 
di verses variantes et modifications qui apparaitront a l'homme 
de l'art. En particulier, la selection des codes operatoires 
autorises pour le sous -programme de securite E est a la portee 
de l'homme du metier a partir des indications f onctionnelles donnees 
ci-dessus. De plus, 1 'adaptation de 1' invention aux differents 
langages de programmation a partir de ces indications est a la 
portee de l'homme du metier. II suffit de prevoir, dans les 
instructions utilisables, une instruction specif ique (SECU) qui 
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fait un appel a 1" ensemble de codes operatoires ou sous-pro- 
gramme propre a 1' invention. 

En outre, le sous -programme de securite peut contenir 
des instructions de saut vers un autre sous -programme qu'il soit 
ou non deterministe, pourvu que 1'on revienne directement ou 
directement dans le programme principal. 
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REVENDICATIONS 

1. Procede anti-fraude consistant a rendre aleatoire 
la signature physique d'un circuit integre executant un 
algorithme ou programme principal (Pg) , caracterise en ce gu'il 
consiste a prevoir dans ledit programme, un branchement a une 
adresse choisie aleatoirement d'un sous -programme (E) ayant au 
moins pour caracteristique que tout code operatoire qu'il 
contient conduit directement ou indirectement a une instruction 
incluse dans le meme sous -programme a 1' exception d'au moins une 
instruction de retour (RET) dans le programme principal appelant, 
de fagon a rendre aleatoire le temps d' execution total du pro- 
gramme principal. 

2. Procede selon la revendication 1, dans lequel le 
sous -programme (E) a pour caracteristique que quelle que soit 
1< adresse (Addi) d' entree dans ce sous -programme, 1 ' instruction 
de retour (RET) dans le programme principal appelant (Pg) soit 

forcement atteinte . 

3. Procede selon la revendication 1 ou 2, dans lequel 
ledit sous -programme (E) a pour caracteristique de ne contenir 
aucun code operatoire generant une interruption. 

4. Procede selon I'une quelconque des revendications 
1 a 3, dans lequel ledit sous -programme (E) a pour 
caracteristique de ne contenir aucune instruction de saut ou de 
branchement vers une adresse externe audit sous -programme . 

5. Procede selon l'une quelconque des revendications 
1 a 4, dans lequel ledit sous -programme (E) a pour 
caracteristique de ne pas contenir de boucle infinie. 

6. Procede selon l'une quelconque des revendications 
1 a 5, dans lequel ledit sous -programme (E) est place, avec le 
code du programme principal (Pg) , dans une memoire morte . 

7. Circuit integre d' execution d'un programme deter- 
ministe, caracterise en ce qu'il comporte les moyens pour 
executer le procede anti-fraude selon l'une quelconque des 
revendications precedentes . 
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